Windows Security Alert

Résolu
Main Noire -  
 Main Noire -
Bonjour,
Voilà je me suis renseigné un peu sur le sujet grâce à d'autres forums mais contrairement à d'autres internautes mon cas n'est pas grave ou du moins pas encore...
Voilà cette fenêtre s'affiche parfois, je peux la fermer et naviguer ensuite sans souci néanmoins c'est assez intriguant et, à la longue, énervant. Si c'est possible de supprimer ce virus, toute aide est la bienvenue.
Avec searchnu.com/414 (résolu depuis) windows security alert est le deuxième problème de ma journée.

13 réponses

  1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    Tu es infecté par un rogue, surtout ne tient pas compte de ses messages d'alertes.

    ● Télécharge RogueKiller (par Tigzy) sur le bureau
    Ferme toutes tes applications en cours
    ● Lance RogueKiller.exe
    Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
    ● Laisse le prescan se terminer, clique sur Scan
    ● Clique sur Rapport pour l'ouvrir puis copie/colle le dans ton prochain message.

    A +
    1
  2. Main Noire
     
    Voilà pour le rapport :

    RogueKiller V7.4.4 [08/05/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Nadia [Droits d'admin]
    Mode: Recherche -- Date: 16/05/2012 21:44:32

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 6 ¤¤¤
    [HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> FOUND
    [HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> FOUND
    [HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> FOUND
    [SCRSV] HKCU\[...]\Desktop : SCRNSAVE.EXE (C:\WINDOWS\WLXPGSS.SCR) -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [CHARGE] ¤¤¤
    SSDT[25] : NtClose @ 0x80567B6D -> HOOKED (Unknown @ 0xF7BE96EC)
    SSDT[41] : NtCreateKey @ 0x805737EF -> HOOKED (Unknown @ 0xF7BE96A6)
    SSDT[50] : NtCreateSection @ 0x805653B3 -> HOOKED (Unknown @ 0xF7BE96F6)
    SSDT[53] : NtCreateThread @ 0x8057888D -> HOOKED (Unknown @ 0xF7BE969C)
    SSDT[63] : NtDeleteKey @ 0x80595A22 -> HOOKED (Unknown @ 0xF7BE96AB)
    SSDT[65] : NtDeleteValueKey @ 0x80593642 -> HOOKED (Unknown @ 0xF7BE96B5)
    SSDT[68] : NtDuplicateObject @ 0x80574942 -> HOOKED (Unknown @ 0xF7BE96E7)
    SSDT[98] : NtLoadKey @ 0x805ADC0B -> HOOKED (Unknown @ 0xF7BE96BA)
    SSDT[122] : NtOpenProcess @ 0x80574B29 -> HOOKED (Unknown @ 0xF7BE9688)
    SSDT[128] : NtOpenThread @ 0x80590C64 -> HOOKED (Unknown @ 0xF7BE968D)
    SSDT[193] : NtReplaceKey @ 0x8064FE38 -> HOOKED (Unknown @ 0xF7BE96C4)
    SSDT[204] : NtRestoreKey @ 0x8064F9CD -> HOOKED (Unknown @ 0xF7BE96BF)
    SSDT[213] : NtSetContextThread @ 0x8062E773 -> HOOKED (Unknown @ 0xF7BE96FB)
    SSDT[247] : NtSetValueKey @ 0x8057DA5B -> HOOKED (Unknown @ 0xF7BE96B0)
    SSDT[257] : NtTerminateProcess @ 0x805857B9 -> HOOKED (Unknown @ 0xF7BE9697)
    S_SSDT[549] : Unknown -> HOOKED (Unknown @ 0xF7BE9700)
    S_SSDT[552] : Unknown -> HOOKED (Unknown @ 0xF7BE9705)

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: Maxtor 6Y080L0 +++++
    --- User ---
    [MBR] 0feb513429aa31a3a222ef9210b42161
    [BSP] 01e6b17d1540289c334c4be27ec9d69d : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 38154 Mo
    1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 78140160 | Size: 39997 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
  3. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    Le rogue ne semble pas ou plus actif.
    Nous allons utiliser cet outil de diagnostic :

    Télécharge OTL (de OldTimer) sur ton Bureau.

    Ferme toutes tes applications en cours

    Avis aux utilisateurs de l'antivirus Avast! , ne pas éxecuter OTL dans la sandbox.

    ● Lance OTL.exe, l'interface principale s'ouvre.
    ● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
    ● Coche la case Tous les utilisateurs
    Laisse tous les autres paramètres par défaut
    ● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

    msconfig 
    safebootminimal 
    safebootnetwork 
    /md5start
    explorer.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    /md5stop
    %temp%\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s 
    %APPDATA%\*.
    %SYSTEMDRIVE%\*.exe 
    %systemroot%\Tasks\*.* /s
    hklm\software\clients\startmenuinternet|command /rs
    CREATERESTOREPOINT 

    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● 2 rapports vont s'ouvrir au format bloc-note :
    OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
    Ne les poste pas sur le forum, ils seraient trop long
    ● Héberge les sur un des sites suivants :
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    http://threat-rc.com/
    https://textup.fr/
    ● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

    Aide : Tutorial OTL (par Malekal)

    A +
    0
  4. Main Noire
     
    désolé pour l'attente, j'ai rencontré un problème avec avast...
    Voici pour les liens :
    http://cjoint.com/?BEqwhBvLyK5 OTL
    http://cjoint.com/?BEqwiPlj739 Extra
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok,

    Tu as suivi une désinfection sur un forum, je vois que tu as installé ZHPDiag et UsbFix ?

    A +
    0
    1. Main Noire
       
      oui en effet
      c'était très bien expliqué et le pb est bel et bien résolu
      par contre j'ai utilisé delfix pour les supprimer
      si tu voulais savoir si j'avais encore les logiciels ZHPDiag et Usbfix...
      0
    2. Main Noire
       
      sinon j'attends la suite de la procédure pour le cas de Windows Security Alert
      0
  7. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok,

    1. Relance RogueKiller.exe
    ● Décoche la ou les cases suivantes :

    [SCRSV] HKCU\[...]\Desktop : SCRNSAVE.EXE (C:\WINDOWS\WLXPGSS.SCR) 

    ● Clique sur Suppression
    ● Clique sur Rapport pour l'ouvrir.

    2. Relance OTL

    ● Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
    ● Clique sur le bouton Correction.
    ● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
    ● Accepte en cliquant sur OK.
    ● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

    Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles

    3. Télécharge MBAM et installe le selon l'emplacement par défaut.
    (l'essai de la version pro est facultative)

    ● Effectue la mise à jour et lance Malwarebytes' Anti-Malware
    ● Clique dans l'onglet du haut "Recherche"
    ● Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
    ● Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

    ▸ A la fin de l'analyse, si MBAM n'a rien trouvé :
    ● Clique sur OK, le rapport s'ouvre spontanément

    ▸ Si des menaces ont été détectées :
    ● Clique sur OK puis "Afficher les résultats"
    ● Choisis l'option "Supprimer la sélection"
    ● Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    ● Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
    ● Sinon le rapport s'ouvre automatiquement après la suppression.

    4. Héberge les 3 rapports et poste les liens

    A +
    0
  8. Main Noire
     
    RogueKiller:
    http://cjoint.com/?BEqwYU0Dthv
    OTL:
    http://cjoint.com/?BEqxcJ5qEIF
    MBAM:
    Je suis en train de faire l'analyse
    0
    1. Main Noire
       
      12 min pour l'instant
      0
    2. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      Le scan de MBAM dure en moyenne 2 heures.

      A +
      0
    3. Main Noire
       
      ah ok c'était pas prévu
      tu sera toujours dispo?
      Sinon si tu veux je peux refaire l'analyse demain
      0
    4. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      Laisse finir le scan, je répondrais dés que possible.
      0
    5. Main Noire
       
      ca marche
      0
  9. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok,

    Regarde si tu as toujours la fenêtre Windows Security Alert

    A +
    0
  10. Main Noire
     
    Apparemment c'est nickel
    Mille mercis pour tes précieux renseignements
    Je viens de poster pour la toute première fois mes problèmes (les deux pb cités dans le sujet) et les helpers m'ont très bien aidés !!
    0
  11. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok,

    == == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==

    1. Lance OTL

    ● Dans la partie "Personnalisation", copie/colle :

    :commands
    [clearallrestorepoints]

    ● Clique sur le bouton Correction.

    2. Relance OTL
    ● Clique sur le bouton Purge outils
    ● Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
    ● Supprime les outils et les rapports restants éventuellement sur ton Bureau

    3. Tu peux garder Malwarebytes Anti-Malware comme logiciel complémentaire à ton antivirus et t'en servir contrôler ton PC avec un scan rapide de temps en temps sans oublier de le mettre à jour avant

    == == == == == == == == MISES A JOUR == == == == == == == ==

    Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :

    https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/ ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update

    !! Décoche les cases proposant des logiciels partenaires pendant les installations !!

    Désinstalle les anciennes versions de Java si tu en as encore installées.
    https://www.java.com/fr/download/help/remove_olderversions.html

    == == == == == == == == == == == == == == == == == == == == == ==

    La sécurité de son PC, c'est quoi ? (par Malekal)

    == == == == == == == == == == == == == == == == == == == == == ==

    Bonne continuation
    0
  12. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Ne néglige pas les mises à jour, fait le tranquillement demain.

    A +
    0